Кто в наше время не слышал об информационной безопасности?
Слышали наверное все от домохозяек до топ-менеджеров ведущих компаний. Если кто-то поспорит о «домохозяйках», спросите Вашу жену или дочку, когда у них последний раз угоняли аккаунт от «Контактов» или «Одноклассников». Но весь вопрос в том, насколько разниться понимание информационной безопасности у домохозяйки, жертвующей в худшем случае аккаунтом из социальной сети или приобретая тормозящий компьютер, зараженный вредоносным программным обеспечением по и топ-менеджера, неправильное решение которого может стоить жизни компании с тысячами сотрудников.
Так вот, хочется сказать, что немало топ-менеджеров не ушли в своем восприятии вопросов информационной безопасности дальше домохозяек. Возьмем простой пример: у кого в компании на рабочем компьютере есть административные права? Правильный ответ – у IT и топ-менеджмента. И если есть надежда, что у IT хвати ума не работать под административными правами, то про топов этого не скажешь.
Почему возникла такая ситуация?
Вопрос в том, что как отдельное направление в бизнесе, информационная безопасность оформилась совсем недавно, а на Украине вообще только-только. Толчок к этому дало бешеное развитие информационных технологий, которые бизнес впитывал, как губка. Но вместе с теми преимуществами, которые несет в себе IT в бизнес вошли и все угрозы, которые порождаются использованием информационных технологий. И если прибыли от преимуществ для всех явны из финансовых отчетов, то чтобы оценить угрозы и ущерб от них, необходимо проводить всесторонний анализ рисков. А это, в отличии от финансов и больших цифр прибыли, понимает далеко не каждый руководитель.
Что вкладывает среднестатистический человек в понятие информационная безопасность?
Во-первых, он не отличает информационную безопасность от IT-безопасности. То есть считает, что сфера информационной безопасности не простирается дальше компьютеров. Во-вторых, если его конкретнее расспросить, что же он все таки понимает под информационной безопасностью, то можно скорее всего услышать следующее:
— это противодействие вирусам;
— это охрана от разглашения коммерческих и других секретов;
— это защита от хакеров, которые могут сейчас залезть в любой компьютер и взломать что угодно.
И очень мало кто представляет, что значит информационная безопасность в самом деле.
Основной задачей информационной безопасности является соблюдение трех основных свойств информации – конфиденциальности, целостности и доступности. И если первое понятно практически всем, то два последних для многих не несут смысловой нагрузки.
Целостность информации – это такое ее свойство, которое состоит в том, что информация не может быть изменена (сюда входит и удалена) неуполномоченным на то субъектом (это может быть и человек, и компьютерная программа, и аппаратная часть компьютера, и любое другое воздействие типа сильного магнитного излучения, наводнения или пожара) . Для многих будет открытие, что под вопросы информационной безопасности попадает случай, когда жена стерла Вашу любимую игрушку. Или если Вы ее случайно стерли сами. А если Вы потеряли флешку со скачанными с интернета фотографиями? Или неправильно поставили дату в важном деловом письме? Все это – целостность информации.
Доступность информации – это такое ее свойство, которое позволяет субъекту, который имеет на это право, получить информацию в виде, необходимой субъекту, в месте, которое нужно субъекту, и во время, нужное для субъекта. Так вот, это случаи, когда Вы пришли в железнодорожную кассу или в магазин, или в банк, а вам говорят, что в ближайшие пол-часа Вас обслужить не могут, потому что висит «Экспресс», «1С», клиент-банк… Список можно продолжать. Или когда у вас пропадает интернет, Вы звоните провайдеру, а он начинает Вам рассказывать про воров, укравших свич и кусок кабеля, или про недавнюю грозу. Так вот – все эти товарищи экономят на информационной безопасности и не обеспечивают должного уровня доступности информации. Это же можно сказать и про Microsoft, когда вспоминаешь песню про «зависшую винду».
Вы уже приблизительно увидели, с чем приходиться сталкиваться информационной безопасности. Но это только маленькая верхушка огромного айсберга.
Как Вы думаете, должен ли специалист по информационной безопасности разбираться в юриспруденции? «Зачем попу гармонь»,- скажете Вы и опять не угадаете. Изучение и составление нормативных документов – одна из важных аспектов работы информационной безопасности. А кто, по вашему будет собирать доказательства в компании, где произошло преступление, связанное с информацией. Милиция? Вы большой оптимист, если думаете, что там надеться хотя бы один специалист, который сможет посмотреть журнал аудита Windows и найти там что-то для себя понятное. А Вы знаете, сколько на Украине создано законодательных актов и других государственных нормативных документов по информационной безопасности? Боюсь, Вашего книжного шкафа не хватит. А если взять еще нормативные документы по отдельным ведомствам? Потянет на небольшую библиотеку.
А должен ли специалист по информационной безопасности разбираться в кадровой работе? Конечно должен. В функции информационной безопасности входит определение требований при приеме на работу, мониторинг перемещения сотрудников, принятие мер при увольнении сотрудника и т.д.
А должен ли специалист по информационной безопасности иметь педагогические навыки? А кто по Вашему, будет вносить в головы как рядовых сотрудников так и топ-менеджмента, азы информационной безопасности? Ведь без неукоснительного соблюдения правил информационной безопасности все файерволы, маршрутизаторы, системы шифрования и контроль доступа – просто лишняя трата денег.
А еще информационная безопасность тесно пересекается с такими направлениями, как служба безопасности, охрана, деловодство, внутренний аудит, аналитика бизнес-процессов, хозяйственное обеспечение и многими другими направлениями, о которых Вы даже не могли подумать.
Такой вот большой существует сегодня разрыв между пониманием информационной безопасности средним человеком, и теми реальными задачами, с которыми приходиться сталкиваться при организации информационной безопасности в бизнесе.